某图书馆及园区管理中心网络项目解决方案建议书

XX园区管理中心及图书馆网络项目解决方案建议书 杭州 XX 通信技术有限公司 2010 年 09 月 24 日 XX园区管理中心及图书馆网络项目解决方案建议书 第 2页 , 共 11页 目录 1. 需求分析 . 3 1.1. 建设背景 . 3 1.2. 建设需求 . 3 1.3. 建设原则 . 3 2. 整体设计 . 4 2.1. 总体设计概述 . 4 2.1.1. 核心环网网络概述 . 5 2.1.2. 园区管理中心办公网 . 5 2.1.3. 图书馆网络建 设 . 7 2.1.4 接入层 . 7 2.1.5 核心层 . 8 2.1.4. 接入交换机采用堆叠的优势 . 8 2.1.5. 采用 WX5004 无线控制器的优势 . 9 2.1.6. 防火墙 +UTM+IPS 特征库的优势 . 9 2.1.7. 采用 2612-AGN 无线 11n 无线接 入的优势 . 10 XX园区管理中心及图书馆网络项目解决方案建议书 第 3页 , 共 11页 需求分析 1.1. 建设背景 “XX”位于 天津市 中心城区和滨海新区之间，是未来天津国际化和区域化职能扩展的重要地区。规划和建设好 “XX”是实现 “双城、双港 ”，形成海河经济带、文化带、景观带的重要一步。 XX 项目规划选址位于海河中游南岸地区，周边紧邻津南新城、八里台镇、天嘉湖、双港镇、大寺镇、军粮城镇。规划总占地 37 平方公里，规划办学规模 20 万人，居住人口 10 万人。一期规划占地 9.8 平方公里，规划办学规模 5.8 万人，居住人口 4 万人左右。 本工程计算机网络系统包括园区管理中心、公共图书馆、核心骨干环及外网接入。整体网络规划分为有线网络、无线网络、网络管理系统、网络安全控制系统 4 个部分 。 1.2. 建设需求 需要建设 独立的园区核 心环网， 用于接入园区管理中心数据网、公共图书馆数据网和 一期入驻的 7 个高校园区网。并且采用国际标准化组织通用协议，保持良好的扩展性。要求环网设备可以对各个接入单位提供速率控制。建设两个独立的局域网，一个为园区管理中心数据网，一个公共图书馆数据网，两个网络各自成网 ， 分别接入园区核心环网 。 另外本次项目需要部署瘦 AP 模式的无线接入，同 时整网还需要考虑高度的校园网安全性。 1.3. 建设原则 为实现 XX 网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则： 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。 技术先进性和实用性 在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。 在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。 高性能 骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。 标准开放性 支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络 (如中国教育网、公共数据网、学校之间等其它网络 )之间的平滑连接互通，以及将来网络的扩展。 灵活性及可扩展性 根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程 度的减少对网络架构和现有设备的调整。 可管理性 对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 XX园区管理中心及图书馆网络项目解决方案建议书 第 4页 , 共 11页 安全性 制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 兼容性和经济性 兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微 机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。 2. 整体设计 2.1. 总体设计概述 XX 核心环网，园区管理中心办公网，图书馆网络 总体设计以高性能 、高可靠性、高安全性、良好的可扩展性和可管理为 原则 。本次网络 建设方案设计 兼顾了技术的成熟性、先进性。 组网图如下所示： XX核心环网，园区管理中心办公网，图书馆 网络 综合 示意图 XX园区管理中心及图书馆网络项目解决方案建议书 第 5页 , 共 11页 2.1.1. 核心环网 网络 概述 H3C 设 计全新的基于纯 IP 技术的网络平台来满足高校校园网的需求变化。面向网络资源的有效、高效利用，从网络架构方面提供优化方案，使得校园核心网、接入网具有更高的可靠性和可控性， 同时使得网络结构与布局在结合实际业务分布的前提下更加合理。 本项目设计使用 三 台 S5500三层 交换机 各部署一块万兆接口板，提供两个万兆接口。使用万兆实现双环路核心。园区管理网、图书馆网络、校园网和出口都使用双链路连接到 核心环网 上的两个不同节点， 核心环网 能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速启用备份链路以恢复环网上各个节点 之间的通信通路。 保证当园区管理网、图书馆网络、校园网和出口有单点故障时网络不会中断。在核心网络的出口处部署 F1000-S 防火墙设备，防止 CERNET 网络对园区网的攻击保护内部安全，同时 F1000-S 具备强大的地址转换功能，满足园区用户访问 CERNET 的需求。 2.1.2. 园区管理中心办公网 管理中心网络示意图（相当于总图的左半部分） 园区管理网上端部署一台 F1000-S，使用千兆链路连接到中央 核心环网 两个节点上。负责整个园区管理网出口安全，防止由外部过来的攻击 同时做内部地址转换 。下端使用千兆电接口连接一台U200-A 统一威胁管理主机。扩展使用 U200-A 的 IPS 功能，对网络中的 2-7 层的攻击和木马病毒等 XX园区管理中心及图书馆网络项目解决方案建议书 第 6页 , 共 11页 进行整体防御。 管理 中心办公网核心介绍 园区管理网的核心交换机使用两台 H3C 的 S7510E 交换机，分别配置单引擎双电源。交换机使用的支持 IPV6 的引擎，便于以后学校中的 IP 网络融合。在两台核心交换机上分别部署 1 块 48 电口接口插卡和 1 块 24 口光接口插卡。两台核心交换机之间使用千兆电接口进行心跳线连接，作为下端接入交换机的网关，进行 VRRP 设置 达到冗余备份的作用，充分保证业务的连续性和可靠性 。使两台交换机之间进行双机热备 ，任意一台核心交换机出现故障，另外一台核心交换机将负责所有的用户接入。设备单点故障不会影响到整个网络的运行。 管理中心办公网接入层介绍 接入交换机使用 E552 三层千兆 交换机。使用两条千兆链路分别连接到两台核心交换机。用户网关设置于核心交换机上。 交换机采用堆叠方式组网，多台设备虚拟成一台简化网络管理，高可靠性满足设备 1： N 的冗余备份。 千兆到桌面的设计可以满足学生们的视频点播、带大附件的电子邮件、文件传输器以及 WEB 和 JAVA 工具等多种应用，也大大提升了网络的价值。 E552 教育网交换机支持 IPv6 的路由功能，从 而实现 IPv6 报文的三层线速转发功能， E552 三层交换设备可以防止ARP 攻击以及 DHCP 广播包泛红。 无线控制器 +FIT AP 无线组网 部署一台无线控制器 WX5004，配置双电源，提高了无线控制器本身的稳定性。无线控制器使用两条千兆链路连接到两台核心交换机上。通过无线控制器对网络中的无线 AP 进行控制和数据转发，实现 AP 的零配置。 AP 使用 WA2612-AGN 设备，支持 802.11n。在网络中 使用 S5120-28C-PWR-EI 接入交换机负责对网络的无线接入 AP 提供 POE 的供电。 AP 将不再使用单独的电源线，直 接使用 千兆双绞线进行数据传输和供电，满足 300M 大功率 AP 需求。 AP 选用支持 802.11n 的瘦 AP，对无线接入用户提供最大 300M 的无线接入，并且支持网络终端准入控制，便于未来关于安全性的扩展和控制。 XX园区管理中心及图书馆网络项目解决方案建议书 第 7页 , 共 11页 2.1.3. 图书馆网络建设 图书馆网络示意图（相当于总图的右半部分） 图书馆的网络设计与管理中心办公网类似，网络出口部署防火墙和 UTM+IPS 特征库，实现对网络 2-7 层纵深一体的防护体系，在防火墙上划分 DMZ 区用来部署服务器集群更加有效地保护了集群，并对服务器攻击者来说又增添了一道关卡。 2.1.4 接入层 提供网络的第一级接入功能， E552 支持特有的 ARP 入侵检测功能，可有效防止黑客或攻击者通过 ARP 报文实施校园网常见的“中间人”攻击。 支持端口安全特性族，可以有效防范基于 MAC地址的攻击。可以实现基于 MAC 地址允许 /限制流量，或者设定每个端口允许的 MAC 地址的最大数量，使得某个特定端口上的 MAC 地址可以由管理员静态配置，或者由交换机动态学习，可以保证只有真正的业务主机才能够接入网络，而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。并支持端口隔离功能，即便是在同一 VLAN 内，也可以实现端口之 间的隔离，从而避免广播风暴和病毒在 VLAN 内的扩散从而影响所有端口。 通过 H3C 特有的 IRF2（智能弹性架构）功能，对交换机进行堆叠，使其虚拟为一台逻辑设备，用户能够简化对网络的管理。同时部分交换机 XX园区管理中心及图书馆网络项目解决方案建议书 第 8页 , 共 11页 为支持 POE 的型号，通过网线对 AP 进行远程供电，极大地简化了 AP 的部署难度。另外，选用全千兆交换机，可以为部署的支持 802.11n 的无线 AP 提供足够大的接入带宽，避免瓶颈。 千兆到桌面的设计可以满足学生们的视频点播、带大附件的电子邮件、文件传输器以及 WEB和 JAVA 工具等多种应用，同时也大大提高了学生的预览效率，提 升了网络的价值。 E552 教育网交换机支持 IPv6 的路由功能，从而实现 IPv6 报文的三层线速转发功能，还支持丰富的 IPv6 业务特性，包括 IPv6 ACL， QoS，组播等，通过运行 MLD snooping（ Multicast Listener Discovery Snooping）可以有效避免 IPv6 组播报文在二层的广播，将信息转发给需要的接受者，节约了网络带宽，增强了 IPv6 组播信息的安全性，同时也为每台主机的单独计费带来了方便 2.1.5 核心层 核心层两台 S7510E 设置 VRRP，终端用户的网关设置在两台核心交换机 上，接入设备双链路上联，实现链路以及设备级冗余备份，避免单点故障，保证业务的连续性可靠性。能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。核心交换机上提供充足的千兆接口，以连接接入交换机。对于本次网络核心层，选择采用高可靠的双电源结构，提供大容量、高性能 L2/L3 交换服务基础上，能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智能特性，以保证在未来的使用过程中，业务拓展而需要的升级可以平滑的实现，而不需更换设备。 2.1.4. 接入交换机采用堆叠的优势 H3C E552 教育网交换机支 持 IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将多台设备看成一台单一设备进行管理和使用。 IRF 可以为用户带来以下好处： 简化管理 IRF 架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF 形成的逻辑设备中运行的各种控 制协议也是作为单一设备统一运行的，并随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开 IRF 架构时可以实现“热插拔”，不影响其他设备的正常运行。 高可靠 IRF 的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能， IRF 系统和上、下层设备之间的物理连接也支持聚合功 能，这样通过多链路备份提高了链路的可靠性； IRF 系统由多台成员设备组成，一旦 Master 设备故障，系统会迅速自动选举新的 Master，以保证通过系统的业务不中断，从而实现了设备级的 1： N 备份； IRF 系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现 1： N XX园区管理中心及图书馆网络项目解决方案建议书 第 9页 , 共 11页 的协议可靠性。 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制，而IRF 系统的性能和端口密度是 IRF 内部所有设备性能和端口数量的总和。因此， IRF 技术能够轻易地将设备的交换能力、用户 端口的密度扩大数倍，从而大幅度提高了设备的性能。 2.1.5. 采用 WX5004 无线控制器的优势 一、 提供对 802.11n AP 的管理 WX5004 无线控制器 在支持对传统 802.11a/b/g AP 管理的同时，还可以与 H3C 基于 802.11n 协议的 WA2612AP 配合组网，从而 提供相当于传统 802.11a/b/g 网络 6 倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。 二、 提供灵活的数据转发方式 支持 集中式转发和分布式转发 。单一的集中式转发， AC 虽然能对报文进行全面控制，但所有的无线业务流都要 到 AC 进行统一处理， 使得 AC 的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时 ， AP 作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP 发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。 甚至当 802.11n 出现时，一个 AP 的业务报文流量高达 300M 之多， AC 的处理性能更加成为无线系统的瓶颈。 当采用分布式转发时， 报文在 AP 上直接转化为有线格式的报文，并不经过 AC， 能够实现无线报文的宽带接入。 WX5004 无线控制器 ，支持两种转发方式，用户可以根据需要，给 SSID 设置转发的类型 。 三、 提供基于位置的用户接入控制 出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。支持基于 AP 的用户接入控制。当无线用户接入网络时，可以通过认证服务器向 AC 下发允许用户接入的AP 列表，在 AC 上进行接入控制，从而达到限制无线用户只能接入到指定位置的 AP 的目的。 四、提供 POE 远程供电 支持 PoE+供电（每端口最大提供 25W 的功率），因此无论是 802.11a/b/g 系列的传统 AP，还是802.11n 系列的 AP，大多数情况下都能与这些 Fit AP 直接相连 。 Fit AP 和 一体化交换机 之 间既可以在同一个网段，也可以不在同一个网段，它们之间通过 CAPWAP 协议自动建立隧道（该隧道基于UDP，可以穿越三层网络，但不可穿越 NAT 网络） 。 2.1.6. 防火墙 +UTM+IPS 特征库的优势 面临端口扫描，操作系统类型探测，缓冲区溢出攻击，木马程序，用户账号扫描，口令猜测，拒绝服务攻击与分布式拒绝服务攻击，通过消耗网络带宽、耗尽硬盘空间 ， 病毒，新型蠕虫病毒会通过网络大量的传播，诸如此类的攻击防不胜防，一旦突破防火墙的拦截，如果没有更深层的防护措施，所有的资源会完全暴露在攻击者面前。而多种解决方案便可以分散这种风险。 我们推荐 防火墙 +UTM+IPS 特征库 作为整体安全防护体系 XX园区管理中心及图书馆网络项目解决方案建议书 第 10页 , 共 11页 的重要组成部分，实现 2-7 层的一体防护，在检测入侵和误用方面具越来越成熟，已经成为必备的防护手段 。 灵活智能的 NAT 转换 ，支持 支持多种常用转换，支持多种 ALG，指定转换后地址 ， 静态网段地址转换 ， 双向地址转换 ， 支持 DNS 映射 。强大的地址转换功能有效的解决公网地址匮乏的现状。 二、 通过在边界部署防火墙，主要目的是实现以下三大功能： 来自 Internet 攻击的防范： 随着网络技术不断的发展， Internet 上的现成的攻击工具越来越多，而且可以通过 Internet 广泛传播，由此导致 Internet 上的攻击行为也越来越多，而且越来越复杂，防火墙必须可以有效的阻挡来自 Internet 的各种攻击行为； Internet 服务器安全防护： 接入 Internet 后，大都会利用 Internet 这个大网络平台进行信息发布和企业宣传，需要在 Internet 边界部署服务器，因此，必须在能够提供 Internet 上的公众